Отслеживание недопустимого исходного MAC-адреса

Я унаследовал поддержку удаленного сайта, который содержит Cisco 4500, и подключен к ~ 2 дюжинам переключателей доступа cisco - в основном 2960 с парой 3750 и 3560. Не все переключатели доступа напрямую подключены к 4500 - есть несколько последовательных цепочек коммутаторов, которые, по-видимому, были сделаны в результате неадекватной кабельной разводки. Недавно я заметил, что на 4500 были обнаружены серво-сообщения, которые указывают, что кадры были получены с недопустимым исходным MAC-адресом:

* Sep 10 09: 29: 48.609:% C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (подавлено 102563 раза) Пакет, полученный с недопустимым MAC-адресом источника (00: 00: 00: 00: 00: 00) на порту Te5 /1 в vlan 1460

Устройство, подключенное к Te5 /1, является коммутатором доступа (Cisco 3750). Он, в свою очередь, подключен к 6 другим переключателям доступа. После небольшого количества поисковых запросов, похоже, 4500 является единственной платформой cisco, которая регистрирует неверные исходные MAC-адреса. Из моего чтения другие платформы (2960, 3750 и т. Д.), Похоже, пересылают фреймы, но не регистрируют их как недопустимые и не добавляют запись в адресную таблицу mac. Я подозреваю, что причиной недействительных исходных MAC-адресов может быть неисправный nic, ошибка программного обеспечения или, возможно, неправильно сконфигурированный сервер vmware. Какие инструменты доступны для переключателей доступа для отслеживания повреждающего порта?

13 голосов | спросил User12345 11 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 11 Sep 2013 09:05:58 +0400 2013, 09:05:58

3 ответа


7

Обычно, когда я это видел, он исходит из плохо настроенной виртуальной машины (часто размещаемой на пользовательской машине). В зависимости от ситуации и окружающей среды их трудно отследить (многие из них видели в университете в зданиях CS и ЕЭК, которые перемещались и приходили /уходили, как это делали студенты).

У вас уже есть несколько отличных ответов, но еще один вариант, который вы можете использовать, - добавить следующую конфигурацию к переключателям нисходящего потока (37xx, 36xx, 29xx):

  mac address-table static 0000.0000.0000 vlan <VLAN ID> падение
 

Это приведет к удалению любого трафика с помощью этого MAC, а не его переадресации, и поскольку это должно быть сделано на аппаратном обеспечении (запрет любых функций /проблем, вызывающих поиск MAC-адресов в программном обеспечении), это не должно отрицательно влиять на производительность.

ответил YLearn 13 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowFri, 13 Sep 2013 02:38:44 +0400 2013, 02:38:44
1

Вы можете попробовать, если кадры можно заблокировать с помощью ACL MAC на интерфейсах и /или на vlans на переключателях доступа. Применяя блоки выборочно и проверяя, исчезли ли сообщения об ошибках на 4500 или нет, вы можете войти в исходный код трафика.

Перемещение кабелей вокруг, чтобы убедиться, что порт, упомянутый в сообщении об ошибке на 4500, также может помочь, но может оказаться сложным в производственной среде.

ответил Gerben 12 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 12 Sep 2013 00:19:41 +0400 2013, 00:19:41
0

Мне кажется, что эта ошибка не влияет на производительность сети, поскольку вы сами обнаружили сообщения журнала, а не наводнили жалобы пользователей. Это заставляет меня подозревать, что проблема связана с каким-то подключенным, но частично сконфигурированным или неправильно сконфигурированным программным обеспечением или сервисом, который в настоящее время не используется.

Ваш лучший курс может состоять в том, чтобы позволить этой спящей собаке лежать, пока не появится какая-то проблема. В качестве альтернативы, если у вас есть время, чтобы сэкономить, вы можете запускать сеансы SPAN, как предлагал @Daniel Dib, и внимательно следить за результатами, пока вы не определите подозрительный порт или устройство.

ответил Dave in Ohio 12 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 12 Sep 2013 17:18:40 +0400 2013, 17:18:40

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132